Ransomware-Angriffe: Wie schütze ich meine digitalen Arbeitsplätze?

Ransomware ist eine ständige Bedrohung, und es reicht nicht aus, einen Angriff zu erkennen und zu stoppen, um ihn abzuwehren. Berichte über erfolgreiche Angriffe erscheinen regelmäßig, obwohl die meisten Unternehmen Antiviren-Software und Firewalls einsetzen. Vorbeugung ist daher das A und O. Es müssen sofort Maßnahmen zum Schutz der Daten ergriffen werden. Aber welche Maßnahmen sind das?

Cyber-Erpressung bleibt eine der größten Bedrohungen

Laut dem BSI-Bericht zur Lage der IT-Sicherheit in Deutschland bleibt Ransomware eine erhebliche Bedrohung für Unternehmen. Die Großwildjagd, bei der große Unternehmen mit verschlüsselten und exfiltrierten Daten erpresst werden, hat weiter zugenommen.

IT-Sicherheitsdienstleister berichten von Lösegeld- und Schweigegeldzahlungen, aber auch von einer steigenden Zahl von Opfern, deren Daten aufgrund der Nichtzahlung geleakt wurden. Eine Kreisverwaltung in Sachsen-Anhalt war von einem schwerwiegenden Angriff betroffen, der zur Ausrufung des ersten Cyber-Katastrophenfalls in Deutschland führte; 207 Tage lang waren bürgernahe Dienstleistungen nicht oder nur eingeschränkt verfügbar.

Was ist Ransomware?

Ransomware ist eine Art von Schadsoftware, die in den letzten Jahren immer häufiger auftritt. Sie infiziert Computer und verschlüsselt Daten, so dass diese nicht mehr zugänglich sind; es sei denn, der Nutzer oder ein Unternehmen zahlt Lösegeld für die Freigabe. Dieser Cyberangriff wird von kriminellen Hackern durchgeführt, die in der Regel eine Zahlung in Form von Kryptowährungen wie Bitcoin verlangen und damit drohen, Informationen zu löschen oder zu veröffentlichen, wenn die Zahlung nicht erfolgt.

Da Ransomware in der Lage ist, erheblichen Schaden anzurichten und Störungen zu verursachen, während sie gleichzeitig schwer zu erkennen und zu bekämpfen ist, stellt sie eine ständige Bedrohung für Unternehmen und staatliche Einrichtungen dar. Sie kann nicht nur den Zugang zu wichtigen Dateien, Systemen und Netzwerken sperren, sondern hat je nach Art des Ransomware-Angriffs auch das Potenzial, Daten vollständig zu zerstören, wenn das Lösegeld nicht rechtzeitig gezahlt wird.

203 Milliarden Euro Schaden pro Jahr durch Angriffe auf deutsche Unternehmen

Eine Studie des Branchenverbands Bitkom aus dem Jahr 2022 ergab, dass in den vergangenen zwölf Monaten bei 69 Prozent der Unternehmen ein Diebstahl von IT- und Telekommunikationsgeräten stattgefunden hat oder vermutet wurde, 63 Prozent waren mit Datendiebstahl konfrontiert, 57 Prozent berichteten von digitaler Kommunikationsspionage und 55 Prozent hatten Systeme oder Abläufe, die digital sabotiert wurden. Diese Zahlen bedeuten einen Anstieg um 7, 3, 5 bzw. 3 Prozentpunkte im Vergleich zum Vorjahr.

Ransomware-Angriffe: 3 Beispiele

Diese Beispiele verdeutlichen, wie verheerend Ransomware-Angriffe sein können. Sie zeigen, dass sowohl einzelne Nutzer als auch große Unternehmen und Organisationen gefährdet sind und dass präventive Maßnahmen wie regelmäßige Sicherheitsupdates, Awareness-Trainings und eine umfassende Sicherheitsinfrastruktur von entscheidender Bedeutung sind, um sich vor solchen Angriffen zu schützen.

Beispiel 1: WannaCry

Im Mai 2017 sorgte der Ransomware-Angriff WannaCry weltweit für Schlagzeilen. WannaCry nutzte eine Sicherheitslücke in Microsoft Windows aus, die zuvor von der National Security Agency (NSA) entdeckt, aber gestohlen und von Cyberkriminellen veröffentlicht wurde. 

Die Ransomware verbreitete sich schnell über Netzwerke und infizierte Hunderttausende von Systemen in über 150 Ländern. WannaCry verschlüsselte die Daten der Opfer und forderte Lösegeldzahlungen in Bitcoin. Der Angriff betraf große Organisationen wie Krankenhäuser, Regierungsbehörden und Unternehmen und führte zu erheblichen finanziellen Verlusten und Störungen des täglichen Betriebs.

Beispiel 2: Ryuk

Ryuk ist eine hochentwickelte Ransomware, die erstmals im August 2018 aufgetaucht ist und seitdem weiterhin aktiv ist. Diese Ransomware wird oft über Spear-Phishing-Kampagnen verbreitet, bei denen gezielte E-Mails an bestimmte Mitarbeiter geschickt werden, um sie dazu zu verleiten, bösartige Anhänge oder Links zu öffnen. 

Ryuk richtet sich hauptsächlich an Unternehmen und Organisationen und hat in vielen Fällen hohe Lösegeldforderungen gestellt, die in Millionenhöhe liegen. Es wird vermutet, dass Ryuk von einer organisierten Cyberkriminellen Gruppe betrieben wird, die gezielt große Organisationen ins Visier nimmt, um maximale finanzielle Gewinne zu erzielen.

Beispiel 3: NotPetya

Im Juni 2017 wurde NotPetya entdeckt, eine Ransomware, die sich als eine Aktualisierung des bekannten Petya-Ransomware-Virus tarnte. NotPetya nutzte eine Schwachstelle in der Update-Funktion einer Buchhaltungssoftware aus, die in der Ukraine weit verbreitet war. 

Von dort aus verbreitete sich die Ransomware rasend schnell in Unternehmen auf der ganzen Welt. NotPetya verschlüsselte nicht nur die Dateien der Opfer, sondern infizierte auch den Master Boot Record (MBR) der Festplatte, wodurch das gesamte System unbrauchbar wurde. Der Angriff traf Unternehmen aus verschiedenen Branchen und verursachte geschätzte Schäden in Milliardenhöhe.

Wie funktioniert die Ransomware-Angriffe?

Ransomware-Angriffe nutzen verschiedene Einfallstore, um in ein System einzudringen. Dazu gehören Phishing-E-Mails mit infizierten Anhängen oder Links zu bösartigen Websites, Drive-by-Downloads von infizierten Websites, Ausnutzung von Software-Schwachstellen und Social Engineering.

Sobald die Ransomware Zugriff auf das System hat, beginnt sie mit der Verschlüsselung der Daten. Dieser Prozess kann einige Minuten bis Stunden in Anspruch nehmen, je nach Größe der betroffenen Dateien.

1. Infektion: 
   Ransomware wird oft über Phishing-E-Mails, bösartige Anhänge, infizierte Downloads oder das Ausnutzen von Sicherheitslücken in Software verbreitet. Wenn der Benutzer auf einen infizierten Link klickt oder einen infizierten Anhang öffnet, wird die Ransomware aktiviert und beginnt, sich im System auszubreiten.
2. Einrichtung und Verschleierung: 
   Nach der Infektion richtet die Ransomware eine Verbindung zu einem Command-and-Control-Server (C&C-Server) her. Der C&C-Server dient als Steuerzentrale für den Angreifer und ermöglicht die Kommunikation mit der infizierten Software. Die Ransomware tarnt sich oft, um ihre Erkennung zu erschweren, indem sie verschlüsselt oder versteckte Dateien und Prozesse verwendet.
3. Dateiverschlüsselung: 
   Sobald die Ransomware im System aktiv ist, beginnt sie damit, bestimmte Dateitypen zu verschlüsseln. Sie kann zum Beispiel Dokumente, Bilder, Videos oder Datenbanken verschlüsseln. Die Ransomware verwendet dabei starke Verschlüsselungsalgorithmen, um die Dateien unlesbar zu machen. Jede Datei erhält einen eindeutigen Entschlüsselungsschlüssel.
4. Erpresserische Forderung: 
   Nach der Verschlüsselung der Dateien zeigt die Ransomware dem Benutzer eine Erpressungsnachricht an. Diese Nachricht informiert das Opfer darüber, dass ihre Dateien verschlüsselt wurden und sie das Lösegeld bezahlen müssen, um den Entschlüsselungsschlüssel zu erhalten. Die Nachricht enthält Anweisungen zum Bezahlen des Lösegelds, oft in Form von Kryptowährungen, um die Zahlung anonym zu halten. Die Angreifer drohen mit dauerhaftem Verlust der Daten oder erhöhtem Lösegeld, wenn das Opfer nicht innerhalb einer bestimmten Frist zahlt.
5. Entschlüsselung (optional): 
   Wenn das Opfer das Lösegeld bezahlt, erhält es angeblich den Entschlüsselungsschlüssel, um die Dateien wiederherzustellen. Einige Ransomware-Gruppen liefern tatsächlich einen funktionsfähigen Entschlüsselungsschlüssel, während andere Opfer trotz Zahlung im Stich lassen. Es gibt auch Fälle, in denen Sicherheitsfirmen Schlüssel für bestimmte Ransomware-Varianten veröffentlichen, sodass Betroffene ihre Dateien kostenlos entschlüsseln können.
   
   

Es ist wichtig zu beachten, dass die beste Verteidigung gegen Ransomware-Angriffe eine umfassende Sicherheitsstrategie ist, die regelmäßige Backups, aktuelle Software-Patches, starke Antivirenprogramme und das Bewusstsein der Benutzer für Phishing-Angriffe beinhaltet.

Lesen Sie unsere Artikel über andere Cyberangriffe: 

• Trojaner-Infektionen,
• Botnetze,
• Scareware,
• Computerwürmer,
• Keylogger.

4 Arten von Ransomware

Diese Arten von Ransomware zeigen, dass die Bedrohung vielfältig ist und verschiedene Techniken zur Erpressung von Lösegeld eingesetzt werden. 

Ransomware verschlüsselt die Dateien des Opfers mit Hilfe von starken Verschlüsselungsalgorithmen. Die Dateien werden unlesbar, und das Opfer kann keinen Zugriff mehr auf seine Daten erhalten, es sei denn, es besitzt den Entschlüsselungsschlüssel.

• Locker Ransomware sperrt den Zugriff auf das System des Opfers, anstatt Dateien zu verschlüsseln. Dies geschieht normalerweise durch das Ändern von Passwörtern oder das Sperren des Bildschirms. Das Opfer kann nicht mehr auf sein System zugreifen, bis das Lösegeld bezahlt wird. Ein Beispiel für Locker Ransomware ist der sogenannte Police Virus, der vorgibt, von einer Strafverfolgungsbehörde zu stammen und illegale Aktivitäten des Opfers aufgedeckt zu haben.
• Scareware ist eine Form von Ransomware, die versucht, das Opfer einzuschüchtern, indem es vorgibt, eine Sicherheitsbedrohung auf dem System gefunden zu haben. Das Opfer wird dazu aufgefordert, das angebotene Sicherheitsprogramm zu kaufen oder Lösegeld zu zahlen, um das vermeintliche Problem zu beheben. Scareware zielt darauf ab, das Opfer auszunutzen und Geld zu erpressen, indem es mit gefälschten Bedrohungen Angst erzeugt.
• Doxware (oder Leakware) zielt darauf ab, sensible Daten des Opfers zu stehlen und zu drohen, sie zu veröffentlichen, es sei denn, das Lösegeld wird bezahlt. Im Gegensatz zu anderen Ransomware-Typen, die nur auf die Sperrung oder Verschlüsselung von Dateien abzielen, zielt Doxware darauf ab, den Ruf oder die Privatsphäre des Opfers zu schädigen, indem es Informationen öffentlich macht. Petya und Maze sind Beispiele für Ransomware, die auch die Doxware-Taktik verwendet haben.
• Mobile Ransomware zielt speziell auf mobile Geräte ab, insbesondere auf Smartphones und Tablets. Sie kann sich als legitime App tarnen oder über schädliche Links oder Anhänge verbreitet werden. Mobile Ransomware kann die Daten auf dem Gerät verschlüsseln oder den Zugriff auf das Gerät blockieren, ähnlich wie bei anderen Ransomware-Typen.

Wie kann ich mich Effektiv vor Ransomware schützen?

1. Regelmäßige Mitarbeiter-Schulungen: Sensibilisieren Sie Ihre Mitarbeiter für die Gefahren von Phishing-E-Mails und Social Engineering. Schulen Sie sie in der Identifizierung verdächtiger Nachrichten und Links und lehren Sie sie, aufmerksam zu sein, bevor sie Anhänge oder Links öffnen.
2. Aktualisierung von Software und Systemen: Stellen Sie sicher, dass alle Systeme, Software und Anwendungen in Ihrem Unternehmen auf dem neuesten Stand sind. Halten Sie Sicherheitspatches und Updates zeitnah und regelmäßig auf dem neuesten Stand, um bekannte Schwachstellen zu schließen.
3. Starke Passwörter und Multi-Faktor-Authentifizierung: Ermutigen Sie Ihre Mitarbeiter, starke und einzigartige Passwörter für ihre Konten zu verwenden und aktivieren Sie die Multi-Faktor-Authentifizierung, um zusätzliche Sicherheitsebenen zu schaffen.
4. Einschränkung von Zugriffsrechten: Begrenzen Sie die Zugriffsrechte Ihrer Mitarbeiter auf das Notwendige, um zu verhindern, dass Ransomware sich im gesamten Netzwerk ausbreitet, wenn ein Benutzerkonto kompromittiert wird.
5. Implementierung von Firewalls und Intrusion Detection Systems (IDS): Installieren Sie eine Firewall, um den Datenverkehr zu überwachen und unautorisierte Zugriffe zu blockieren. Ein Intrusion Detection System kann verdächtiges Verhalten frühzeitig erkennen und entsprechende Maßnahmen einleiten.
6. Sicherheitsbewusstsein im gesamten Unternehmen: Ermutigen Sie alle Mitarbeiter dazu, eine Kultur der Cybersicherheit zu entwickeln. Teilen Sie Informationen über aktuelle Bedrohungen und ermutigen Sie dazu, verdächtige Aktivitäten sofort zu melden.
7. Durchführung von regelmäßigen Backups: Führen Sie regelmäßige Backups Ihrer wichtigen Daten durch und speichern Sie diese offline oder in einer sicheren Cloud-Umgebung. Dadurch können Sie im Falle eines Ransomware-Angriffs Ihre Daten wiederherstellen, ohne auf Lösegeldzahlungen angewiesen zu sein.
8. Notfallplan erstellen: Entwickeln Sie einen umfassenden Notfallplan wie z. B. Incident Response. Dieser Plan sollte die Schritte zur Eindämmung eines Ransomware-Angriffs und zur Wiederherstellung des Systems enthalten. Testen Sie diesen Plan regelmäßig, um sicherzustellen, dass alle Mitarbeiter wissen, wie sie in einem Notfall reagieren sollen.
9. Zusammenarbeit mit Sicherheitsexperten: Arbeiten Sie mit vertrauenswürdigen Sicherheitspartnern zusammen, um Ihre Sicherheitsstrategie zu überprüfen und zu optimieren. Externe Experten können helfen, potenzielle Schwachstellen zu identifizieren und zu beheben.
   
   

UNTERNEHMEN KAUM GESCHÜTZT

Verschiedene Studien zeigen, dass der deutsche Mittelstand leider immer noch nicht ausreichend gegen Ransomware und Phishing-Angriffe geschützt ist. Der BSI-Bericht erwähnt, dass nur 28 % der Unternehmen Lösungen wie Anwendungskontrolle zum Schutz ihrer Systeme eingesetzt haben, während nur 35 % Schulungen zum Sicherheitsbewusstsein durchführen. Da Ransomware- und Phishing-Angriffe in den meisten Fällen durch das Anklicken bösartiger Links oder das Herunterladen von mit Malware infizierten E-Mails und Anhängen ausgelöst werden, sind diese Arten des Schutzes für Unternehmen, die in der digitalen Welt tätig sind, unerlässlich.

Auf die richtige Mischung kommt es an

Der effektivste Weg, Ihre digitalen Arbeitsplätze vor Ransomware und Phishing Angriffen zu schützen, ist eine Kombination aus Anwendungskontrolle und Sicherheitsschulung. Lösungen zur Anwendungskontrolle können verhindern, dass bösartige Software auf den Computern ausgeführt wird, während Sicherheitstrainings den Benutzer:innen beibringt, wie sie Phishing-Betrug, bösartige Links und andere Ransomware-Angriffe erkennen und vermeiden können.

Zusätzlich sollten Sie sich über die neuesten Sicherheits-Patches für alle in Ihrem Unternehmen verwendeten Programme auf dem Laufenden halten, um sicherstellen zu können, dass alle Sicherheitslücken rechtzeitig erkannt und geschlossen wurden.

Auch die Durchsetzung von Least-Privilege-Strategien bzw. ein Sicherheitskonzept, welches auf dem Zero-Trust Ansatz basiert, ist unerlässlich für jede Organisation, die sich vor Ransomware schützen will.

Wir haben einen Blog-Beitrag vorbereitet, der Sie darüber informiert, was Sie nach einem Cyberattacke tun sollten.

Die zertifizierte Sicherheitslösung Made in Germany

Als einziges Unternehmen weltweit liefert DriveLock in seiner Zero Trust Plattform eine Schnittstellen- und Applikationskontrolle, die nach dem auch vom BSI anerkannten hohen Sicherheitsstandard CC EAL3+ zertifiziert ist. Dabei definiert der Kunde über eine moderne Weboberfläche einfach und schnell diejenigen Geräte und Anwendungen, die im täglichen Betrieb von Mitarbeiter:innen verwendet werden können. Bösartige Software kann damit auf einem Arbeitsplatz nicht mehr ausgeführt werden, selbst wenn einmal versehentlich ein mit Schadsoftware versehender Anhang einer Phishing-E-Mail angeklickt wurde.

Damit das aber nicht erst passiert, können über die Zero-Trust Plattform auch Security Awaress Kampagnen an Benutzer:innen ausgespielt werden, die trainieren wie man Phishing-Emails erkennen und sich vor diesen Gefahren schützen kann. Das passiert im Gegensatz zu vielen anderen Lösungen pro-aktiv und automatisiert, ohne dass die Initiative dabei von einer Person ausgehen muss.

Ebenfalls pro-aktiv erlaubt DriveLock die automatische Suche nach Schwachstellen auf einem Arbeitsplatz. Die gefundenen Ergebnisse werden zentral zusammengefasst, visualisiert und können anschließend für ein Patch-Management System weiterverwendet werden, um diese Lücken schnell und nachhaltig zu schließen.

Weitere Module, wie zum Beispiel eine Festplattenverschlüsselung oder die Konfiguration von Sicherheitseinstellungen des Betriebssystems erweitern die Zero Trust Plattform von DriveLock um unverzichtbare Sicherheitsmaßnahmen. Dadurch werden digitale Arbeitsplätze erst recht resilient gegen die ständigen Gefährdungen durch Cyberattacken und Ransomware.

Die DriveLock Zero Trust Plattform steht Kunden in nur wenigen Minuten und mit geringem administrativen Aufwand als Managed Service zur Verfügung, was gerade für mittelständische Unternehmen eine deutliche Erleichterung und eine kostengünstige Alternative darstellt.

Der Security Service von DriveLock beispielsweise ist von Expert:innen gemanagt, sofort einsatzbereit, ressourcenschonend, individualisierbar und maximal sicher. Die DriveLock Zero Trust Platform kann unverbindlich 30 Tage kostenfrei getestet werden.

Die DriveLock Lösungen können jedoch auch in Eigenverantwortung komplett innerhalb eines Enterprise-Unternehmensnetzwerkes installiert betrieben werden.

Wie lassen sich digitale Arbeitsplätze vor Ransomware-Angriffen schützen?

Unternehmen müssen Maßnahmen ergreifen, um ihre Daten und Prozesse vor Ransomware-Angriffen zu schützen, z. B. durch den Einsatz von Lösungen zur Anwendungskontrolle und durch Schulungen zum Sicherheitsbewusstsein. Diese Strategien tragen dazu bei, die Ausführung von Schadsoftware auf Computern zu verhindern und schulen Benutzer:innen, wie sie Cyber-Bedrohungen wie Phishing-Betrug und bösartige Links erkennen können.

Durch die Umsetzung dieser Maßnahmen wird sichergestellt, dass digitale Arbeitsplätze gut gegen Ransomware und andere Cyber-Bedrohungen geschützt sind.

Die Zero Trust Plattform von DriveLock bietet hierfür die ideale Lösung. Die enthaltene Schnittstellen- und Applikationskontrolle ist nach CC EAL3+ zertifiziert. Die Plattform bietet zusätzliche Maßnahmen wie Vulnerability Management und Festplattenverschlüsselung.